Configuration bind9 & dnssec

rsuinux · Mars 3, 2021, 4:01pm

Bonjour;

Je fais encore appel à vous pour mon dns.
J’avais eu un problème il y a quelque temps déjà. Mais depuis tout roulait bien.
Depuis une mise à jour, et un plantage disque, puis la remise en place de la sauvegarde (oui la j’ai une sauvegarde pas comme mon portable), j’ai un souci avec mon dns:
il fonctionne, j’ai mes clefs pour dnssec, mais zonemaster me donne des erreurs fatales:

Le serveur de nom de la zone parente xxxxxxxx retourne un enregistrement de type 'DS' mais le serveur de nom de la zone (adresse ip = la mienne) ne retourne pas d'enregistrement de type 'DNSKEY'.

Ce qui me pose soucis, c’est que dans mon fichier de zone signé, j’ai bien les enregistrements dnskey.

Je ne comprends pas si le problème vient de la configuration de bind ou de la signature de la zone.

si quelqu’un a une idée, je suis preneur, car letsencrypt ne veut pas renouveler les certificat derrière, trouvant des erreurs dns (je pense que ce sont celle la).

Merci de votre aide.
Rémi.

Zargos · Mars 1, 2021, 2:42pm

Le dnskey est utilisé pour transmettre une clé publique entre le resolver et le serveur de nom. elle est associé à une zone, et non à un serveur (une ip).

Normalement quand tu as défini tes clefs tu as eu des enregistrements des ressources DS que tu dois recopier dans la zone de domaine parent.

rsuinux · Mars 1, 2021, 4:05pm

Bonjour;
Peut être ne parle ton pas des mêmes informations.
Si tu parle de celles transmises à mon registrar, mes clefs publique, je les ai bien transmise à gandi, puisque je passe par eux.
ou alors, j’ai oublié quelque chose.

Zargos · Mars 1, 2021, 4:10pm

Ton serveur DNS est le maître, et gandi est le secondaire par réplication?

rsuinux · Mars 1, 2021, 4:27pm

tout à fait

rsuinux · Mars 3, 2021, 4:01pm

Je suis plus au taf. Je peux faire plus de détails.
Voilà ce que dit aussi zonemaster:

 serveur de noms a0.org.afilias-nst.info/199.19.56.1 retourne un enregistrement de type "DS" créé à partir de l'algorithme (2/SHA-256), ce qui est correct. Cet enregistrement de type "DS" correspond à la clé (DNSKEY) avec le tag 31881 dans la zone suinot.org.

La, il dit bien qu’il y a une dnskey!!!
Sur l’interface de gandi, je ne peux mettre que mes clefs ksk et zsk.

Zargos · Mars 1, 2021, 7:04pm

Mais est-ce que ça marche? car ce que dit zonemaster c’est bien, mais il suffit qu’il y ait des blocages au niveau de gandi pour que ton zonemaster ne puisse te donner toutes les infos.

rsuinux · Mars 2, 2021, 6:19am

Ben, le DNS a l’air de fonctionner,
Mais quand je fais un test avec dig, j’ai le flag ra au lieu de ad
C’est aussi pour cela qu’à mon premier message, j’ai dit que je me pose aussi la question de la conf par elle même.
Named-chekconf me donne pas d’erreur, mais il ne vérifie que la syntaxe.

rsuinux · Mars 3, 2021, 4:00pm

J’avance.
Je n’ai plus d’erreur sur zonemaster, je n’ai plus que 3 warning (toujours pour dnssec).
J’ai résolu cela en plaçant le répertoire des clefs dans la partie zones du fichier named.conf, et en modifiant les options de dnssec-signzone : alors que je n’avais pas besoin jusqu’à recemment de mettre-K , depuis que je l’ai ajouté, je n’ai plus d’erreur non plus à la signature.
ça c’est fait.
Ensuite, certbot râlait mais il manquait un nom dans le dns . Il lui faut tout les enregistrements dans le dns, ça semble évident!

A présent, les warning

Le champ "flags" de l'enregistrement de type "DNSKEY" avec le tag 31881 retourné par le serveur de noms master.suinot.org/78.214.39.5 n'a pas le bit SEP positionné alors qu'un enregistrement de type "DS" avec le même tag de clé existe dans la zone parente.

Ce warning vient de ou?

Zargos · Mars 3, 2021, 9:56am

Bonne question, jamais vu de ma part.
je pense que c’est lié à l’applicatif sous-jacent.
malformation de paquet par l’application. laquelle par contre je ne saurais te dire.
mais ça a l’air principalement de venir de zonemaster, car je ne trouve rien sinon sur le sujet ailleurs

anon70622873 · Mars 5, 2021, 6:54am

Je ne suis pas sûr de bien comprendre l’avrtissement mais quand on interroge ton domaine on trouve deux enregistrement DS dans la zone parente :

dig DS suinot.org +multi +short
36694 8 2 E40992308B93AD17D672050DACDF1333A073CF30DBDAA88728BB544C 3E89EF9D
31881 8 2 FBADAFB7E236EE30E674E6D11F41B358FB83483D00C592A49D75FFF4 E30A717F

Je suppose que le second (id 31881) qui correspond à ta ZSK ne devrait pas être présent. En principe le seul enregistrement DS nécessaire doit correspondre au hash de la KSK publique.

rsuinux · Mars 4, 2021, 4:21pm

@anon70622873 C’est étrange, si j’ai à peu près suivi, les enregistrements DS devraient être dans le fichier dsset-suinot.org.
J’ai bien le fichier, pas de souci, mais celui ci contient bien deux lignes, dont une qui correspond à 36694, mais pas la seconde ligne.
suinot.org. IN DS 36694 8 1 2ECB2F3E020… suinot.org. IN DS 36694 8 2 E40992308B…
Et je confirme que 31881 c’est bien ma zsk. Pourquoi elle se retrouve la?

anon70622873 · Mars 4, 2021, 4:26pm

Les enregistrements DS doivent être transmis à ton bureau d’enregistrement (celui auprès duquel tu as loué ton domaine).
En effet ces enregistrements doivent se trouver sur le serveur faisant autorité pour la zone parente : org. dans ton cas.
Don à voir avec ton prestataire pour gérer tes enregistrement DS et supprimer celui qui est en trop.

rsuinux · Mars 4, 2021, 4:48pm

je vais voir avec gandi.